Sikkerhet på radnivå (RLS) i rapportserver for Power BI

  • Artikkel

Konfigurasjon av sikkerhet på radnivå (RLS) med rapportserver for Power BI kan begrense datatilgang for gitte brukere. Filtre begrenser datatilgang på radnivå, og du kan definere filtre i roller. Hvis du bruker standardtillatelsene i rapportserver for Power BI, kan alle brukere med Publisher- eller Content Manager-tillatelser for Power BI-rapporten tilordne medlemmer til roller for denne rapporten.

Du konfigurerer RLS for rapporter som er importert til Power BI med Power BI Desktop. Du kan også konfigurere RLS på rapporter som bruker DirectQuery, for eksempel SQL Server. Husk at RLS ikke respekteres hvis DirectQuery-tilkoblingen bruker integrert godkjenning for rapportlesere. For Live-tilkoblinger for Analysis Services konfigurerer du sikkerhet på radnivå på den lokale modellen. Sikkerhetsalternativet vises ikke for live-tilkoblingsdatasett.

Definer roller og regler i Power BI Desktop

Du kan definere roller og regler i Power BI Desktop. Når du publiserer til Power BI, publiserer du også rolledefinisjonene.

Slik definerer du sikkerhetsroller:

  1. Importer data til Power BI Desktop-rapporten, eller konfigurer en DirectQuery-tilkobling.

    Merk

    Du kan ikke definere roller i Power BI Desktop for Live-tilkoblinger for Analysis Services. Du må gjøre dette i Analysis Services-modellen.

  2. Velg Behandle rollerModellering-fanen.

    Skjermbilde av Modellering-fanen, som uthever Behandle roller.

  3. Velg Opprett i vinduet Behandle roller.

    Skjermbilde av behandle roller-vinduet, som uthever Opprett.

  4. Angi et navn for rollen under Roller.

    Merk

    Du kan for eksempel London,ParisRoleikke definere en rolle med komma.

  5. Velg tabellen du vil bruke en DAX-regel (dataanalyseuttrykk) på, under Tabeller.

  6. Skriv inn DAX-uttrykkene i dax-uttrykksboksen for tabellfilteret. Dette uttrykket returnerer en verdi av sann eller usann. Eksempel: [Entity ID] = “Value”.

    Skjermbilde av behandle roller-vinduet, som uthever et eksempel på DAX-uttrykk.

    Merk

    Du kan bruke brukernavn() i dette uttrykket. Vær oppmerksom på at brukernavn() har formatet DOMENE\brukernavn i Power BI Desktop. I Power Bi-tjeneste og rapportserver for Power BI er det i formatet til brukerens brukerhovednavn (UPN). Du kan også bruke userprincipalname(), som alltid returnerer brukeren i formatet til brukerhovednavnet. username@contoso.com

  7. Når du har opprettet DAX-uttrykket, merker du av for over uttrykksboksen for å validere uttrykket.

    Skjermbilde av dax-uttrykksvinduet for tabellfilteret, som uthever merket.

    Merk

    Bruk komma i denne uttrykksboksen til å skille DAX-funksjonsargumenter selv om du bruker en nasjonal innstilling som vanligvis bruker semikolonskilletegn (f.eks. fransk eller tysk).

  8. Velg Lagre.

Du kan ikke tilordne brukere til en rolle i Power BI Desktop. Du tilordner dem i Power Bi-tjeneste. Du kan aktivere dynamisk sikkerhet i Power BI Desktop ved å bruke DAX-funksjonene username() eller userprincipalname() og ha de riktige relasjonene konfigurert.

Toveis kryssfiltrering

Som standard bruker filtrering av sikkerhet på radnivå enkeltveisfiltre, uavhengig av om relasjonene er satt til én retning eller toveis. Du kan manuelt aktivere toveis kryssfiltrering med sikkerhet på radnivå.

  • Merk relasjonen, og merk av for Bruk sikkerhetsfilter i begge retninger .

    Bruk sikkerhetsfilter

Merk av i denne boksen når du implementerer dynamisk sikkerhet på radnivå basert på brukernavn eller påloggings-ID.

Hvis du vil ha mer informasjon, kan du se Toveis kryssfiltrering ved hjelp av DirectQuery i Power BI Desktop og teknisk hvitbok for semantisk modell for tabell BI.

Validere rollene i Power BI Desktop

Når du har opprettet rollene dine, tester du resultatene av rollene i Power BI Desktop.

  1. Velg Vis somModellering-fanen.

    Skjermbilde av Modellering-fanen, som uthever Vis som.

    Vinduet Vis som roller vises, der du ser rollene du har opprettet.

    Skjermbilde av vinduet Vis som roller med Ingen valgt.

  2. Velg en rolle du opprettet. Velg deretter OK for å bruke denne rollen.

    Rapporten gjengir dataene som er relevante for denne rollen.

  3. Du kan også velge Annen bruker og angi en gitt bruker.

    Skjermbilde av vinduet Vis som roller med en eksempelbruker angitt.

    Det er best å angi brukerhovednavn (UPN) fordi det er det Power Bi-tjeneste og rapportserver for Power BI bruker.

    I Power BI Desktop viser andre brukere bare forskjellige resultater hvis du bruker dynamisk sikkerhet basert på DAX-uttrykkene. I dette tilfellet må du inkludere brukernavnet i tillegg til rollen.

  4. Velg OK.

    Rapporten gjengis basert på hva RLS-filtrene tillater brukeren å se.

    Merk

    Funksjonen Vis som roller fungerer ikke for DirectQuery-modeller med enkel pålogging (SSO) aktivert.

Legge til medlemmer i roller

Når du har lagret rapporten i rapportserver for Power BI, administrerer du sikkerhet og legger til eller fjerner medlemmer på serveren. Bare brukere med tillatelsene Publisher eller Innholdsbehandling for rapporten har sikkerhetsalternativet på radnivå tilgjengelig og ikke nedtonet.

Hvis rapporten ikke har rollene den trenger, må du åpne den i Power BI Desktop, legge til eller endre roller og deretter lagre den tilbake til rapportserver for Power BI.

  1. Lagre rapporten i Power BI Desktop for å rapportserver for Power BI. Du må bruke versjonen av Power BI Desktop for rapportserver for Power BI.

  2. Velg ellipsen (...) ved siden av rapporten i rapporttjenesten for Power BI.

  3. Velg Behandle>sikkerhet på radnivå.

    Behandle sikkerhet på radnivå

    På siden sikkerhet på radnivå legger du til medlemmer i en rolle du opprettet i Power BI Desktop.

  4. Hvis du vil legge til et medlem, velger du Legg til medlem.

  5. Skriv inn brukeren eller gruppen i tekstboksen i brukernavnformatet (DOMENE\bruker), og velg rollene du vil tilordne til dem. Medlemmet må være i organisasjonen.

    Legg til medlem i rolle

    Avhengig av hvordan du har konfigurert Active Directory, fungerer det også å skrive inn brukerhovednavnet her. I så fall viser rapportserveren det tilsvarende brukernavnet i listen.

  6. Klikk OK for å bruke.

  7. Hvis du vil fjerne medlemmer, merker du av i boksen ved siden av navnene og velger Slett. Du kan slette flere medlemmer om gangen.

    Slett medlemmer

brukernavn() og userprincipalname()

Du kan dra nytte av DAX-funksjonene brukernavn() eller userprincipalname() i datasettet. Du kan bruke dem i uttrykk i Power BI Desktop. Når du publiserer modellen, bruker rapportserver for Power BI dem.

Brukernavn() i Power BI Desktop returnerer en bruker i formatet DOMENE\Bruker og userprincipalname() returnerer en bruker i formatet user@contoso.com.

I rapportserver for Power BI returnerer brukernavn() og userprincipalname() begge brukerens brukerhovednavn (UPN), som ligner på en e-postadresse.

Hvis du bruker egendefinert godkjenning i rapportserver for Power BI, returneres brukernavnformatet du har konfigurert for brukere.

Hensyn og begrensninger

Her er gjeldende begrensninger for sikkerhet på radnivå på Power BI-modeller.

Brukere som hadde rapporter ved hjelp av DAX-funksjonen username(), vil legge merke til ny virkemåte nå der BRUKERhovednavn (UPN) returneres UNNTATT når du bruker DirectQuery med integrert sikkerhet. Siden RLS ikke respekteres i dette scenarioet, er virkemåten i dette scenariet uendret.

Du kan bare definere RLS på datasett som er opprettet med Power BI Desktop. Hvis du vil aktivere RLS for datasett som er opprettet med Excel, må du først konvertere filene til Power BI Desktop-filer (PBIX). Mer informasjon om konvertering av Excel-filer.

Bare utpakking, transformering, innlasting (ETL) og DirectQuery-tilkoblinger ved hjelp av lagret legitimasjon støttes. Live-tilkoblinger til Analysis Services og DirectQuery-tilkoblinger ved hjelp av integrert godkjenning håndteres i den underliggende datakilden.

Hvis du bruker integrert sikkerhet med DirectQuery, kan det hende at brukerne legger merke til følgende:

  • RLS er deaktivert, og alle data returneres.
  • Brukere kan ikke oppdatere rolletilordningene sine og få en feilmelding på Administreringssiden for RLS.
  • For DAX-brukernavnfunksjonen fortsetter du å motta brukernavnet som DOMENE\BRUKER.

Rapportforfattere har ikke tilgang til å vise rapportdataene i rapportserver for Power BI før de har tilordnet seg roller tilsvarende etter at rapporten er lastet opp.

Rolletildelinger gjennom gruppemedlemskap støttes bare når rapportserver for Power BI er konfigurert til å kjøre med NTLM- eller Kerberos-godkjenning. Servere som kjører med egendefinert godkjenning eller Windows Basic, må ha brukere eksplisitt tilordnet roller.

Vanlige spørsmål

Kan jeg opprette disse rollene for Analysis Services-datakilder?

Det kan du hvis du importerte dataene til Power BI Desktop. Hvis du bruker en live-tilkobling, kan du ikke konfigurere RLS i Power Bi-tjeneste. RLS er definert lokalt i Analysis Services-modellen.

Kan jeg bruke RLS til å begrense kolonnene eller målene som er tilgjengelige for brukerne mine?

Nei. Hvis en bruker har tilgang til en bestemt rad med data, kan de se alle kolonnene med data for denne raden.

Lar RLS meg skjule detaljerte data, men gi tilgang til data oppsummert i visualobjekter?

Nei, du sikrer individuelle rader med data, men brukere kan alltid se enten detaljene eller de summerte dataene.

Kan jeg legge til nye roller i Power BI Desktop hvis jeg allerede har eksisterende roller og medlemmer tilordnet?

Ja, hvis du allerede har definert eksisterende roller og medlemmer som er tilordnet i rapportserver for Power BI, kan du gjøre flere roller og publisere rapporten på nytt uten å påvirke gjeldende oppgaver.

Relatert innhold

Har du flere spørsmål? Prøv å spørre Power BI-fellesskap